Restaurantele sunt de ani buni printre cele mai frecvente ținte ale malware-ului pentru case de marcat — nu pentru că hackerii au ceva cu HoReCa, ci pentru că e o țintă ușoară.
Lanțuri precum Chipotle, Sonic Drive-In și Checkers & Rally's au fost lovite în ultimii ani de malware instalat pe casele lor de marcat, uneori luni de zile fără să fie observat, cu milioane de numere de card furate ca rezultat. Conform celui mai recent Data Breach Investigations Report al Verizon, o terță parte — un furnizor, un partener de casă de marcat sau de software — este acum implicată în 30% din toate scurgerile de date, față de abia jumătate din acest procent cu un an în urmă. Iar în 22% din cazuri, o parolă furată sau slabă a fost punctul de plecare. Nu trebuie să fii un lanț internațional ca să devii țintă: cele mai multe atacuri sunt automatizate sau trec printr-un singur furnizor vulnerabil care deservește simultan zeci de restaurante. Acest articol îți oferă 9 pași concreți, în mare parte gratuiți sau ieftini, ca să-ți protejezi restaurantul:
- Separă wifi-ul pentru oaspeți — niciodată pe aceeași rețea cu casa de marcat.
- Securizează-ți casa de marcat — actualizări la zi și neîncredere față de orice „tehnician” neanunțat.
- Alege un furnizor de plăți conform PCI-DSS — și nu păstra niciodată tu însuți datele de card.
- Folosește parole puternice și autentificare în doi pași — peste tot, nu doar la casă.
- Recunoaște phishing-ul și frauda cu facturi — cel mai subestimat cost din HoReCa.
- Limitează accesul pe rol — și revocă-l imediat la plecarea unui angajat.
- Verifică-ți furnizorii — slăbiciunea lor devine scurgerea ta de date.
- Fă backup-uri și testează-ți planul de recuperare — înainte să pice casa de marcat.
- Cunoaște-ți obligația de raportare — GDPR îți dă 72 de ore, nici o zi în plus.
De ce HoReCa este o țintă îndrăgită
Un restaurant procesează zilnic zeci până la sute de tranzacții cu cardul, păstrează date de rezervare și informații de contact ale oaspeților și lucrează adesea cu hardware de casă de marcat învechit sau prost întreținut, care rulează neschimbat ani la rând. Adaugă la asta o fluctuație mare de personal și cunoștințe IT limitate și obții exact profilul căutat de atacatori: multe date valoroase, puțină rezistență. Spre deosebire de un atac țintit asupra unei bănci mari, cea mai mare parte a malware-ului pentru case de marcat este oportunistă — caută automat sisteme vulnerabile, indiferent dacă localul tău are douăsprezece sau o sută douăzeci de mese.
Vestea bună: majoritatea măsurilor de mai jos nu costă bani, ci doar zece minute de atenție. Securitatea cibernetică în HoReCa este rareori o chestiune de a angaja un serviciu IT scump — este mai ales o chestiune de a închide punctele slabe evidente.
9 pași către un restaurant sigur din punct de vedere cibernetic
1. Separă wifi-ul pentru oaspeți de rețeaua casei de marcat
Cea mai frecventă — și cea mai subestimată — greșeală este un singur router pentru tot: casa de marcat, calculatorul de birou cu contabilitatea și wifi-ul pe care îl oferi gratuit oaspeților. Din momentul în care un oaspete (sau cineva căruia i s-a dat parola de la un oaspete) se conectează la acea rețea, în cel mai rău caz poate intercepta traficul către casa ta de marcat.
- Creează două rețele separate: una pentru oaspeți, una pentru casa de marcat și back-office, fiecare cu propria parolă. Majoritatea routerelor de gamă medie în sus suportă asta printr-un „SSID pentru oaspeți” sau VLAN, adesea dintr-o singură setare.
- Schimbă periodic parola pentru oaspeți, de exemplu lunar, ca o parolă veche și larg răspândită să nu rămână în circulație.
- Conectează-ți sistemul de comandă prin QR la rețeaua oaspeților, niciodată la cea a casei de marcat — chiar dacă pare mai practic altfel.
Această singură schimbare — două rețele în loc de una — închide ruta cea mai folosită prin care un dispozitiv infectat al unui oaspete ar putea ajunge vreodată la casa ta de marcat.
2. Securizează-ți chiar tu casa de marcat
Când alegi un sistem POS, urmărești în mod normal integrările și costurile de tranzacție — dar la fel de important este cât de bine este și rămâne securizat. Câteva reguli practice:
- Instalează actualizările software pentru casa de marcat imediat ce apar; software-ul de casă de marcat învechit este cea mai ușoară țintă care există.
- Folosește calculatorul casei de marcat exclusiv pentru casă — nu pentru a căuta ceva rapid, a verifica e-mailul sau a asculta muzică.
- Nu avea încredere în niciun „tehnician” neanunțat. Grupul de hackeri brazilian Prilex a devenit celebru la nivel global cu malware pentru case de marcat capabil să clone chiar și tranzacții cu cip și PIN — infecția începe de obicei cu un telefon de la un pretins tehnician care insistă să „actualizeze” software-ul casei și cere instalarea unui program precum AnyDesk pentru acces la distanță. Dacă ai vreo îndoială, sună mereu înapoi la numărul oficial al propriului tău furnizor, niciodată la numărul dat chiar de apelant.
3. Alege un furnizor de plăți conform PCI-DSS
Orice parte care procesează plăți cu cardul trebuie să respecte PCI-DSS, standardul de securitate al rețelelor de carduri. Consecința practică pentru tine: nu lăsa niciodată datele de card să treacă prin sau să fie stocate în propriile tale sisteme dacă nu este necesar.
- Alege un terminal sau furnizor de plăți care tokenizează datele de card — casa ta de marcat nu vede niciodată numărul real al cardului, ci doar un cod de înlocuire fără valoare.
- Nu păstra niciodată numere de card în foi de calcul, e-mailuri sau notițe „pentru orice eventualitate”.
- Dacă nu ești conform PCI-DSS și totuși apare o scurgere de date, poți fi tras la răspundere pentru tranzacțiile frauduloase — costul non-conformității este aproape întotdeauna mai mare decât costul unui furnizor conform.
Cifre care fac diferența
De ce viteza și igiena de bază contează mai mult decât un contract de securitate scump.
4. Parole puternice și autentificare în doi pași, peste tot
O singură parolă comună, veche de ani de zile („kassa1234”), pe care a primit-o cândva fiecare angajat, este probabil cel mai mare risc invizibil din HoReCa. Până îți dai seama, zece foști angajați o mai știu și acum.
- Activează autentificarea în doi pași oriunde este posibil: la contul casei de marcat, la sistemul tău de rezervări, la profilul tău Google Business și la e-mailul de afaceri. De obicei este gratuit și costă un singur clic în plus la autentificare.
- Dă fiecărui angajat un cont propriu în loc de unul comun — astfel știi și cine a făcut ce, dacă apare vreo problemă.
- Folosește un manager de parole pentru conturile de afaceri în loc să reutilizezi aceeași parolă peste tot.
5. Recunoaște phishing-ul și frauda cu facturi
Cele mai multe intruziuni nu încep cu cod sofisticat, ci cu un e-mail sau un telefon care abuzează de încredere. Include acest subiect explicit în instruirea personalului:
- Frauda cu facturi: un „furnizor” trimite un e-mail că și-a schimbat contul bancar. Confirmă întotdeauna telefonic orice modificare a datelor de plată, folosind un număr pe care îl știai deja — nu pe cel din e-mail.
- Frauda „CEO”: un e-mail urgent „de la patron” care cere cumpărarea de vouchere cadou sau un transfer rapid. Stabilește cu echipa ta ca astfel de cereri să fie confirmate întotdeauna verbal.
- E-mailuri false „de la furnizorul casei de marcat” sau „Google” care cer autentificare printr-un link. Dacă ai dubii, mergi întotdeauna direct pe site-ul oficial în loc să dai click pe link.
6. Limitează accesul pe rol — și revocă-l imediat
Nu orice angajat are nevoie de drepturi de administrator la casa de marcat, sistemul de rezervări sau rețelele sociale. Lucrează cu roluri: un ospătar poate crea comenzi, dar nu are nevoie să exporte rapoarte sau să schimbe setări.
- Dă drepturi complete de administrator doar patronului și unui număr restrâns de responsabili.
- Revocă accesul imediat ce cineva pleacă din companie — este pasul cel mai des uitat din toată această listă și unul dintre cele mai riscante. Include-l implicit în checklist-ul de offboarding, alături de restul administrației legate de gestiunea personalului.
- Verifică cel puțin de două ori pe an cine mai are acces la ce și elimină ce nu mai este necesar.
7. Verifică-ți furnizorii: slăbiciunea lor devine scurgerea ta de date
Casa ta de marcat, platforma de comandă online și instrumentele de automatizare rulează adesea pe software-ul unei terțe părți. Dacă acea parte este piratată, tu ești cel care stă treaz noaptea. Din octombrie 2024, directiva europeană NIS2 ridică ștacheta de securitate pentru companiile mijlocii și mari din numeroase sectoare — restaurantele individuale se situează de regulă sub acest prag (limita fiind de 50 de angajați sau 10 milioane de euro cifră de afaceri), dar furnizorul tău de casă de marcat, rezervări și plăți se află adesea chiar în mijlocul acestei categorii. De aceea, întreabă orice furnizor nou:
- Sunteți conformi NIS2 sau ISO 27001 sau puteți cel puțin demonstra cum sunt protejate datele clienților?
- Cât de repede sunt anunțați clienții în caz de incident de partea voastră?
- Unde și cât timp sunt păstrate datele noastre și cine are acces la ele?
Asta se leagă direct de modul în care oricum trebuie să privești critic cum îți prelucrezi datele clienților conform GDPR: responsabilitatea pentru datele oaspeților tăi nu se oprește la furnizorul care le stochează tehnic.
8. Fă backup-uri și testează-ți planul de recuperare
Ransomware-ul face rareori titlurile ziarelor în HoReCa așa cum se întâmplă la spitale, dar efectul este la fel de disruptiv: o casă de marcat blocată într-o vineri seara aglomerată înseamnă pierdere imediată de venituri și oaspeți frustrați la ușă.
- Fă backup-uri periodice ale datelor de rezervare, datelor clienților și configurației — automat, nu manual „când îți amintești”.
- Păstrează cel puțin un backup separat de rețeaua ta principală, astfel încât ransomware-ul care îți criptează sistemele să nu-ți afecteze și backup-ul.
- Testează cel puțin o dată pe an dacă poți restaura efectiv un backup — un backup pe care nu l-ai restaurat niciodată este o presupunere, nu o garanție.
9. Cunoaște-ți obligația de raportare și ia în calcul o asigurare
Dacă prelucrezi date cu caracter personal ale oaspeților sau angajaților — iar aproape orice restaurant face asta, de la rezervări până la dosarele de personal — GDPR se aplică integral, indiferent de mărimea afacerii tale. La o scurgere gravă de date:
- Trebuie să raportezi incidentul autorității de protecție a datelor în 72 de ore de la descoperire.
- Trebuie să anunți oaspeții sau angajații afectați dacă riscul pentru ei este ridicat.
- Amenzile pot ajunge până la 4% din cifra de afaceri anuală la nivel mondial — în practică, localurile mici din HoReCa se aleg de obicei cu sancțiuni mult mai blânde, dar obligația de raportare în sine se aplică fără excepție.
O asigurare cibernetică accesibilă acoperă adesea nu doar dauna directă, ci și investigația criminalistică și asistența juridică după un incident — întreabă la același asigurator la care ai deja celelalte polițe. Documentează, de asemenea, pe o singură pagină pe cine trebuie să suni (furnizor, asigurator, eventual suport IT) în momentul în care ceva merge prost: la ora nopții nu vrei să cauți un număr de telefon.
Greșeli frecvente care subminează securitatea cibernetică
- Casa de marcat, biroul și wifi-ul pentru oaspeți pe exact aceeași rețea.
- Folosirea unei singure parole comune care nu se schimbă niciodată, nici după plecarea unui angajat.
- Acordarea accesului la distanță unui „tehnician” neanunțat, fără verificare.
- Notarea sau păstrarea manuală a datelor de card ale oaspeților „pentru siguranță”.
- Revocarea accesului foștilor angajați abia atunci când se observă întâmplător.
- Netestarea niciodată dacă un backup poate fi cu adevărat restaurat.
Concluzie: securitatea ca igienă de bază, nu ca lux
Securitatea cibernetică în HoReCa cere rareori o investiție mare. Este o serie de obiceiuri mici și structurale: o rețea separată pentru oaspeți, autentificare în doi pași, o privire critică asupra oricărui telefon neașteptat și acces pe care îl revoci imediat ce cineva pleacă. Începe săptămâna aceasta cu pașii gratuiți — separarea rețelelor, activarea autentificării în doi pași, informarea echipei despre phishing — și planifică restul la următoarea discuție cu furnizorii.
Prețul acelor câteva ore de atenție este neînsemnat comparativ cu ce costă o scurgere de date în reputație, amenzi și încrederea oaspeților care se așteptau tocmai ca datele lor să fie în siguranță la tine.